Sendt: 30. november 2011
Adressat: Nærings- og handelsdepartementet
I. Innledning
Vi viser til departementets høringsbrev av 12. oktober 2011 vedrørende ovennevnte høring.
Det er en prioritert oppgave for Advokatforeningen å drive rettspolitisk arbeid gjennom høringsuttalelser. Advokatforeningen har derfor en rekke lovutvalg inndelt etter fagområder. I våre lovutvalg sitter advokater med særskilte kunnskaper innenfor det aktuelle fagfelt og hvert lovutvalg består av advokater med ulik erfaringsbakgrunn og kompetanse innenfor fagområdet. Arbeidet i lovutvalgene er frivillig og ulønnet.
Advokatforeningen ser det som sin oppgave å være en uavhengig høringsinstans med fokus på rettssikkerhet og på kvaliteten av den foreslåtte lovgivningen.
I saker som angår advokaters rammevilkår vil imidlertid regelendringen også bli vurdert opp mot advokatbransjens interesser. Det vil i disse tilfellene bli opplyst at vi uttaler oss som en berørt bransjeorganisasjon og ikke som et uavhengig ekspertorgan. Årsaken til at vi sondrer mellom disse rollene er at vi ønsker å opprettholde og videreutvikle den troverdighet Advokatforeningen har som et uavhengig og upolitisk ekspertorgan i lovgivningsprosessen.
I den foreliggende sak uttaler Advokatforeningen seg som ekspertorgan. Saken er forelagt lovutvalget for IKT og personvern. Lovutvalget består av Eva Jarbekk, Mette Borchgrevink, Kjersti Jensen, Cathrine Murstad og Kjell Steffner.
Advokatforeningen avgir følgende høringsuttalelse:
II. Sakens bakgrunn
Europaparlamentets og Rådets forordning om administrativt samarbeid om informasjonssystemet for det Indre marked (IMI Forordningen) skal ha til formål å sikre et rettslig grunnlag for et forebedret samarbeid mellom offentlige myndigheter i EU- og EØS-landene.
Videre er forordningen ment å skulle sikre forutsigbarhet og forsvarlige rammer for videre utviking av Informasjonssystemet for det indre marked (IMI).
IMI beskrives i forslaget som et sikkert, generisk og fleksibelt administrativt verktøy for et forbedret administrativt samarbeid, som skal sikre informasjonsutveksling (inkl. utveksling av personopplysninger) og overvinner språkbarrierer mellom myndighetene.
Forordningen skal også sikre et enkelt rettslig instrument, med innebygde prosedyrer og tekniske foranstaltninger som sikrer beskyttelse av data, personvern i IMI og grensesnitt mot tredjepartsløsninger.
Forordningen oppgis videre å skulle sikre at det etableres:
• et solid rettslig grunnlag for IMI og fastsette felles regler for å sikre at IMI fungerer effektivt
• omfattende databeskyttelse ved at fastsette regler for behandling av personopplysninger i IMI
• potensiell fremtidig utvidelse av IMI til nye områder av EU-lovgivningen
• presisering av rollene for de forskjellige aktører i IMI.
III. Kommentarer til de enkelte forslagene
Til 3. Forslagets juridiske innhold
Advokatforeningen stiller generelt spørsmål til om forslaget i tilstrekkelig grad sikrer personvernet, eller om det kan være behov for ytterligere presiseringer – særlig i forhold til eksterne aktører, herunder aktører fra tredjeland.
Advokatforeningen vil også påpeke at uklarhet i minstekravene til personvernet kan bidra til ulike konkurransemessige vilkår for IT-leverandører som leverer tjenester til IMI og til systemer som etter hvert tilsluttes IMI.
Til 4. Virkninger for budsjettet
Advokatforeningens har ingen kommentarer til dette punkt i forslaget.
Til 5. Fakultative elementer
Innledende kommentarer
Advokatforeningen oppfatter det som positivt at det utarbeides felles regler for styring og bruk av IMI.
Rettsakten er foreslått å omfatte hele EU- og EØS-området.
Videre foreslås det at IMI etter nærmere vilkår også kan nyttes i kommunikasjon med eksterne aktører, herunder myndigheter i tredjeland. Advokatforeningen anser at det ville være heldig om forordningen også kunne definerer nærmere betingelser for eksterne aktørers kommunikasjon med IMI.
Advokatforeningen ønsker videre å rette søkelyset mot at forordningen i sin nåværende utforming kan medføre uklarhet om forordningens betydning for IT-systemer i randsonen av IMI.
Denne uklarheten kan medføre risiko for ulike regler for IT-systemer i randsonen, med tilhørende risiko for ulike krav til databeskyttelsesnivå i slike systemer. Dette igjen kan bidra ulike rammevilkår og derav en risiko for den frie konkurranse i IT-bransjen.
Kapitel I (Alminnelige bestemmelser)
Advokatforeningens har ingen kommentarer til denne del av forslaget.
Kapitel II (Oppgaver og ansvar i forbindelse med IMI)
Generelt vil Advokatforeningen påpeke at det er ønskelig med klarere regler for vilkår for tilgang til personopplysninger, herunder krav til sikkerhetsprosedyrer for ivaretakelse av personvern for IT-systemer og bruker i randsonen av IMI.
Dette må anses å ha betydning både for ivaretakelse av personvernet og for å sikre fri konkurranse i IT-bransjen.
Kapitel III (Databehandling og sikkerhet)
Advokatforeningen stiller seg positiv til forslagets innhold.
Advokatforeningen stiller spørsmål ved om bestemmelsene er tilstrekkelige til å sikre blokkering også i tilsluttede systemer hos eksterne aktører.
Kapitel IV (De registrertes rettigheter og tilsyn)
Advokatforeningen anser det som ønskelig med en mer detaljert beskrivelse av minstekrav til de registertes rettigheter, særlig med tanke på eksterne aktører / aktører fra tredjeland gis tilgang til IMI.
Kapitel V (IMI’s geografiske anvendelsesområde)
Advokatforeningen stiller spørsmål til om det av hensyn til personvernet bør stilles minstekrav til de prosessbeskrivelser som skal etableres, hvis eksterne aktører / aktører fra tredjeland blir gitt tilgang til IMI. Herunder om det er behov for mer detaljerte minstekrav i forhold til lovpålagt personvern og krav til sikkerhet hos aktuelle tredjeland.
Kapitel VI (Avsluttende bestemmelser)
Advokatforeningen stiller spørsmål til om det av hensyn til personvernet bør stilles minstekrav til de prosessbeskrivelser som skal etableres ved implementering av nye områder i IMI. For øvrig påpekes det i relasjon til artikkel 25 at forsvarlige frister er nødvendig når nye områder tilføyes eller fjernes fra vedlegg 2 til forordningen. Nødvendige tilpasninger i eksisterende IKT-løsninger må kunne implementeres i tidsrommet mellom tilføyelse eller fjerning fra bilag II og ikrafttredelse. Tilsvarende gjøres gjeldende for artikkel 28 angående ikrafttredelse, nærmere bestemt behovet for å hensynta eventuelle deler av forordningen som kan antas å medføre behov for tilpasninger i eksisterende IKT-løsninger.
IV Oppsummering
Det fremkommer av høringsutkastet at det skal sikres et høyt databeskyttelsesnivå ved gjennomføringen av IMI. I så henseende stiller Advokatforeningen spørsmål ved om forslaget i tilstrekkelig grad sikrer personvernet. Det kan være hensiktsmessig med ytterligere presiseringer og detaljeringer – særlig med tanke på eksterne aktører.
Advokatforeningen vil også peke på at uklarhet eller ufullstendighet i minstekravene til personvernet kan bidra til ulike konkurransevilkår for IT-leverandører som leverer tjenester til IMI.
Vennlig hilsen
Berit Reiss-Andersen Merete Smith
leder generalsekretær